Zapraszamy do naszego przeglądu newsów IT – w tym tygodniu m.in.: o wykryciu zmodyfikowanego trojana Emotet, nowych atakach rosyjskich hakerów z grupy TA505, wycieku 2 milionów haseł do sieci WiFi, czy krytycznych lukach w produktach Oracle.
1.Zmodyfikowany Emotet uderza po raz kolejny
W sieci uaktywnił się nowy wariant konia trojańskiego Emotet, o którym pisaliśmy wcześniej tutaj. Został on wzbogacony o funkcje, które pozwalają mu na maskowanie serwerów C&C. W tym celu używa zainfekowanych wcześniej urządzeń traktując je jak serwery proxy. Nowy Emotet wykorzystuje również losowo generowane ścieżki katalogów URL w żądaniach POST, by lepiej wpasować się w wychodzący ruch sieciowy.
Wykradzione z zainfekowanych urządzeń informacje zaszyfrowane kluczem RSA lub AES, a także zakodowane w Base64 przesyłane są w treści wiadomości HTTP POST. Pozwala to uniknąć wykrycia lub opóźnić ewentualne dochodzenie.
Złośliwy trojan stara się infekować kamery internetowe, routery, panele administracyjne witryn, oraz kamery IP. Z urządzeń tych tworzy armię botnetu pozostającą do usług cyberprzestępców, którzy mogą ją wykorzystać do przeprowadzania dalszych ataków.
2. Cyberprzestępcy z grupy TA505 w natarciu
Rosyjscy hakerzy ponownie zaatakowali firmy handlowe oraz międzynarodowe instytucje finansowe.
Funkcjonująca od 5 lat grupa TA505, bo o niej mowa, w przeszłości obierała już za cel instytucje finansowe m.in.: z Chile, Indii, Włoch, Pakistanu czy Korei Południowej. Atakowała również firmy zajmujące się handlem detalicznym w USA. Grupa znana jest poza tym z przeprowadzanych na dużą skalę kampanii spamowych rozpowszechniających trojany Dridex i The Trick oraz programy ransomware Jaff i Locky. Ten drugi był w swoim czasie jednym z najpopularniejszych programów szyfrujących. Szacuje się, że w latach 2016 i 2017 na okupach z Locky’ego grupa zarobiła 200 milionów dolarów.
W najnowszej kampanii rosyjscy cyberprzestępcy wykorzystują wiadomości phishingowe kierowane do osób z wybranych instytucji i firm. Złośliwe oprogramowanie – backdoor o nazwie SerVHelper – ukrywa się pod plikami, które są podpisane legalnym certyfikatem Sectigo. Malware pozostaje praktycznie niewykrywalny przez tradycyjne systemy ochrony, a przestępcy przy jego pomocy mogą prowadzić rozeznanie, komunikować się z serwerami C&C, wykradać wrażliwe dane firmy oraz blokować działanie jej systemów żądając okupu.
Skoro programy antywirusowe zawodzą, firmy powinny chronić się przed tego typu atakami m.in. poprzez szkolenie pracowników. Świadoma zagrożeń kadra z pewnością ostrożniej podchodzić będzie do wątpliwych wiadomości, a tym samym być może uchroni firmę przed nieprzyjemnymi konsekwencjami ataku.
3. Wyciekły 2 miliony haseł do sieci Wi-Fi
Z popularnej aplikacji do wyszukiwania hotspotów wyciekły hasła do ponad 2 mln sieci Wi-Fi. HotSpot Finder, bo o niej mowa, pozwala użytkownikom urządzeń z systemem Androida odnaleźć miejsca, w których bezprzewodowo połączyć się mogą z internetem. Przy jej pomocy mogą udostępniać sobie nawzajem hasła Wi-Fi. Powstała tym sposobem baza danych liczy przeszło dwa miliony rekordów. Każdy wpis zawiera nazwę sieci Wi-Fi, dokładną geolokalizację, unikalny identyfikator oraz hasło sieciowe zapisane zwykłym tekstem.
Baza nie została w odpowiedni sposób zabezpieczona, przez co zgromadzone w niej informacje były do niedawna powszechnie dostępne.
Odkrywcy tego faktu przez dwa tygodnie próbowali skontaktować się z deweloperem aplikacji. Bezskutecznie. Z prośbą o interwencję zwrócili się więc do firmy hostingowej, która usunęła bazę ze swojego serwera w dniu zgłoszenia. Informacje zawarte w bazie umożliwiały cyberprzestępcom dostęp do 2 mln sieci Wi-Fi. Znając hasła mogli modyfikować ustawienia routera i przekierowywać niczego nie podejrzewających użytkowników sieci na szkodliwe strony internetowe. Mogli również odczytać niezaszyfrowany ruch w sieci bezprzewodowej kradnąc poufne informacje, np. dane uwierzytelniające.
4. Krytyczna luka bezpieczeństwa Oracle WebLogic
Oracle WebLogic to wielopoziomowy serwer aplikacji oparty na Javie, który umożliwia firmom szybkie wdrażanie nowych produktów i usług w chmurze oraz wygodne nimi zarządzanie.
W aplikacji Oracle WebLogic znaleziono lukę bezpieczeństwa umożliwiającą zdalne wykonanie kodu w procesie deserializacji. Podatność może zostać wykorzystana w sytuacji, gdy włączone są komponenty „wls9_async_response.war” i „wls-wsat.war”. Błąd pozwala atakującemu na zdalnie wykonanie dowolnego polecenia, bez konieczności autoryzacji, poprzez wysłanie specjalnie spreparowanego żądania HTTP.
Oracle publikuje aktualizacje swoich produktów co trzy miesiące. Data kolejnej publikacji, która powinna załatać opisaną podatność, przypada w lipcu. Do tego czasu administratorzy serwerów powinni zabezpieczyć swoje systemy poprzez zmianę jednego z dwóch ustawień:
- znalezienie i usunięcie wls9_async_response.war, wls-wsat.war oraz ponowne uruchomienie usługi Weblogic,
- zapobieganie dostępowi do ścieżek URL /_async/* i /wls-wsat/* poprzez kontrolę polityki dostępu.
To nie jedyny problem Oracle, o którym głośno było w minionym tygodniu. Polska firma Security Explorations, zajmująca się cyberbezpieczeństwem, odkryła 34 podatności w najnowszej wersji Oracle Java Card (wersja 3.1). Ich wykorzystanie prowadzić może do naruszenia bezpieczeństwa miliardów urządzeń wykorzystujących tę technologię. Więcej na ten temat tutaj.
5. Kampania phishingowa prosząca o przesłanie “selfie”
Nowa kampania phishingowa skierowana jest do klientów Chase Banku działającego w ponad 100 krajach na świecie. Kampania wyróżnia się dość niestandardowym żądaniem, a mianowicie prośbą o przesłanie selfie.
Kampania rozpoczyna się standardowo – użytkownik otrzymuje informacje o błędach w danych i konieczności weryfikacji tożsamości. Kierowany jest na łudząco przypominającą stronę logowania do banku i wypełnia spreparowane formularze zbierające dane osobowe. Następnie pojawia mu się żądanie przesłania zdjęć dwóch stron dowodu osobistego lub prawa jazdy, bądź alternatywnie…selfie z dowodem osobistym.
Uzyskując komplet informacji od nieświadomych zagrożenia ofiar, cyberprzestępcy mają wszystko, co jest im potrzebne do przejęcia tożsamości.
Proszenie ofiary o przesłanie selfie z dowodem osobistym nie jest powszechnym żądaniem na stronach phishingowych. Po co ono zatem cyberprzestępcom? Otóż, weryfikacja za pomocą zdjęcia dokumentu lub selfie powszechnie stosowana jest na witrynach do transferu pieniędzy, handlu kryptowalutami czy stronach hazardowych. Możliwe więc, że przestępcy wykorzystają tożsamości klientów Chase Banku do utworzenia im kont na tego typu stronach lub spróbują uzyskać dostęp do ich kont w kryptowalutach
6. Ransomware atakuje firmy 5x częściej
Z analizy danych opublikowanych przez Malwarebytes Labs w raporcie Cybercrime Tactics and Techniques Q1 2019 wynika, że cyberprzestępcy skupiają swoje działania na przedsiębiorstwach. Porównując dane rok do roku, okazuje się, że liczba ataków na firmy wzrosła o 235%. Spośród wszystkich rodzin złośliwego oprogramowania najwyższy wzrost odnotowały programy ransomware. Ich aktywność zwiększyła się w ciągu roku aż o 508% (!). Jednocześnie liczba incydentów wymierzonych w użytkowników indywidualnych spadła o blisko jedną czwartą.
Obserwacje te potwierdza coroczny raport sporządzony przez FBI Internet Crime Complaint Center na temat przestępczości internetowej. Z raportu wynika, że paradoksalnie wraz z malejącą od 2016 roku liczbą zarejestrowanych ataków ransomware (spadek z 2 673 w 2016 r. do 1 394 w 2018r.) rosną straty przez nie powodowane (wzrost w analogicznym okresie o blisko 1,2 mld dolarów). Dzieje się tak gdyż cyberprzestępcy zmienili cele swoich ataków z użytkowników prywatnych na firmy od których żądają wyższego okupu za odblokowanie systemów i/lub odszyfrowanie plików.
7. Nowe podatności w telewizorach Smart firmy Sony
Odkryto 2 nowe luki bezpieczeństwa w inteligentnych telewizorach firmy Sony z systemem Android, w tym we flagowym modelu Bravia.
Błędy ukryte były w aplikacji Photo Sharing Plus umożliwiającej przesyłanie zdjęć oraz nagrań ze smartfona do telewizora w celu ich wyświetlania w formie np. pokazu slajdów. Pierwsza luka pozwala atakującemu, bez uwierzytelniania, uzyskać hasło WiFi utworzone przez telewizor w momencie uruchomienia aplikacji. Druga z podatności pozwala odczytać dowolne pliki, w tym obrazy, znajdujące się w pamięci telewizora.
Nie są to pierwsze podatności telewizorów Sony oraz aplikacji Photo Sharing Plus. W październiku 2018 roku ujawniono groźną lukę tej aplikacji związaną z nieprawidłowym przetwarzaniem nazw plików. Podatność mogła zostać wykorzystana w celu uruchomienia dowolnego polecenia co prowadzić mogło do zdalnego wykonania kodu z uprawnieniami roota.
Sony usunęło podatną aplikację z nowych modeli telewizorów.
8. Haker mógł sparaliżować ruch na drogach wielu krajów
Haker o nicku L&M włamał się do 27 000 kont użytkowników Androidowych aplikacji iTrack oraz ProTrack służących do geolokalizacji pojazdów. Przedsiębiorstwa chętnie korzystają z obu tych aplikacji w celu monitorowania i zarządzania własnymi flotami samochodów firmowych.
Dostęp do kont użytkowników ułatwiły cyberwłamywaczowi domyślne hasła. Zarówno iTrack, jak i ProTrack przy rejestracji automatycznie nadawały to samo hasło wszystkim użytkownikom. W dodatku bardzo wymyślne – 123456. Jako, że użytkownicy rzadko je zmieniali, do odgadnięcia pozostawały jedynie loginy. Przy pomocy ataku brute force haker poznał tysiące z nich.
Logując się na konta uzyskał dostęp do informacji o modelach i nazwach urządzeń GPS zainstalowanych w samochodach, numerach IMEI, nazwiskach użytkowników, ich numerach telefonów, adresach mailowych oraz adresach zamieszkania. Nie zawsze zdobywał cały zestaw danych, czasem była to część z nich.
Haker za pomocą kont monitorował ruch samochodów, a także miał możliwość zdalnego wyłączania silników w pojazdach jadących z prędkością nie większą niż 20 km/h. Dotyczyło to samochodów, w których właściwa funkcja została aktywowana na etapie instalowania aplikacji GPS. Wykorzystanie jej prowadzić mogło do niebezpiecznych zdarzeń na drodze (stłuczki, wypadki) co w konsekwencji doprowadziłoby do paraliżu komunikacyjnego.
Haker skontaktował się z twórcami obydwu aplikacji, poinformował o swoich ustaleniach oraz przedstawił swoje oczekiwania finansowe odnośnie nagrody.